问题描述
在登录ECS实例时,发现ECS实例内存在异常账号。
问题原因
账号可能为非正常创建,ECS实例存在被入侵的风险。
解决方案
如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
请先确认异常账号是否为他人创建,则为正常创建流程。如果为非正常创建,请检查账号的名称,若为一些应用创建的账号,则会和应用相关,例如mysql、tcpdump账号等。 如果和应用无关,且类似管理员账户名称,例如Administrators,则ECS实例存在被入侵风险,请根据现场实际情况,选择下列对应的步骤进行修复。
系统中删除异常账号
请参考下列步骤,查看ECS实例中是否存在异常账号:
Linux实例
登录ECS实例,详情请参见连接方式概述。
执行
vi /etc/passwd
命令,查看是否存在异常账号。如果存在异常账号,则执行usermod -L [$User]
命令,禁用该异常账户,或者执行userdel -r [$User]
命令,删除该异常账户。说明[$User]为异常账号名。
Windows实例
说明本小节在Windows2012系统中进行了验证。
删除账户名末尾有美元字符($)的账户,一般情况下,黑客创建的账户名末尾有字符($)。
登录ECS实例,详情请参见连接方式概述。
按左下角的Win键,选择控制面板,依次单击用户账户>管理其他账户。
找到账户名末尾有美元字符($)的账户名并删除即可。
黑客可能在您的ECS实例内创建隐藏账户,本地账户无法查看隐藏账户,您可以通过修改注册表,修改Administrator账户的权限,建议您在修改注册表前先备份数据,避免操作出错。
登录ECS实例,详情请参见连接方式概述。
找到运行程序,输入regedt32.exe。
选择HKEY_LOCAL_MACHINE>SAM,默认情况下您看不到里面的内容。
单击SAM,右键并选择权限,选择Administrators,允许列勾选权限为完全控制,然后单击确定。
选择开始>运行,输入regedit。
选择HKEY_LOCAL_MACHINE>SAM>SAM>Domains>Account>Users>Names,显示当前ECS实例中的所有账户名。删除本地账户中不存在的账户,即可删除隐藏账户。
使用云安全中心修复
登录云安全中心控制台,选择威胁检测>安全告警处理,查看ECS实例是否存在被入侵的提示,有关告警信息请参见安全告警类型概述。
可以考虑升级到付费版企业云安全中心,提供相关病毒云查杀功能,或者在机器上安装第三方安全软件来尝试做下全盘查杀。并删除新增的异常账号,后续做好安全加固。
说明如果异常账号持续无法删除,且环境重建成本不高,可以备份数据,直接初始化系统盘,彻底恢复此问题。操作前务必做好备份,具体步骤请参见 重新初始化系统盘。
适用于
云服务器ECS
- 本页导读 (1)